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Zugriffsgeschutzter Datentrager 



5 Die Erfindung betrifft einen Datentrager, der einen Halbleiterchip aufweist, 
in dem geheime Daten abgespeichert sind. Insbesondere betrifft die Erfin- 
dung eine Chipkarte. 

Datentrager die einen Chip enthalten, werden in einer Vielzahl von unter- 

10 schiedlichen Anwendungen eingesetzt, beispielsweise zum Durchftihren von 
Finanztransaktionen, zum Bezahlen von Waren oder Dienstleistungen, oder 
als Identifikationsmittel zur Steuerung von Zugangs- oder Zutrittskontrol- 
len. Bei alien diesen Anwendungen werden innerhalb des Chips des Daten- 
tragers in der Regel geheime Daten verarbeitet, die vor dem Zugriff durch 

15 imberechtigte Dritte geschiitzt werden miissen. Dieser Schutz wird imter 
anderem dadurch gewahrleistet, dafi die inneren Strukturen des Chips sehr 
kleine Abmessungen auf weisen und daher ein Zugriff auf diese Strukturen 
mit dem Ziel, Daten, die in diesen Strukturen verarbeitet werden, auszuspa- 
hen, sehr schwierig ist. Um einen Zugriff weiter zu erschweren, kann der 

20 Chip in eine sehr f est haf tende Masse eingebettet werden, bei deren gewalt- 
samer Entf ernung das Halbleiterplattchen zerstort wird oder zumindest die 
darin gespeicherten geheimen Daten vernichtet werden. Ebenso ist es auch 
moglich, das Halbleiterplattchen bereits bei dessen Herstellung mit einer 
Schutzschicht zu versehen, die nicht ohne Zerstorung des Halbleiterplatt- 

25 chens entf ernt werden kann, 

Mit einer entsprechenden technischen Ausriistung, die zwar extrem teuer 
aber dennoch prinzipiell verfiigbar ist, konnte es einem Angreifer mogli- 
cherweise gelingen, die innere Struktur des Chips freizulegen und zu unter- 
30 suchen. Das Freilegen konnte beispielsweise durch spezielle Atzverfahren 
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oder durch einen geeigneten Abschleifprozefi erfolgen. Die so freigelegten 
Strukturen des Chips, wie beispielsweise Leiterbahnen, konnten mit Mikro- 
sonden kontaktiert oder mit anderen Verfahren untersucht werden, um die 
Signalverlauf e in diesen Strukturen zu ermitteln. Anschliefiend konnte ver- 
5 sucht werden, aus den detektierten Signalen geheime Daten des Datentra- 
gers, wie z.B. geheime Schlussel zu ermitteln, um diese fur Manipulations- 
zwecke einzusetzen. Ebenso konnte versucht werden, xiber die Mikrosonden 
die Signalverlauf e in den freigelegten Strukturen gezielt zu beeinflussen. 

10 Der Erfindung liegt die Aufgabe zugnmde, geheime Daten, die in dem Chip 
eines Datentragers vorhanden sind, vor unberechtigtem Zugriff zu schiitzen. 

Diese Aufgabe wird durch die Merkmalskombination des Anspruchs 1 ge- 
lost. 

15 

Bei der erfindungsgemaGen Losung werden im Gegensatz zum Stand der 
Technik keine Mafinahmen getroff en, um ein Freilegen der internen Struktu- 
ren des Chips und ein Anbringen von Mikrosonden zu verhindern. Es wer- 
den stattdessen Mafinahmen getroffen, die es einem potientellen Angreifer 
20 erschweren, aus den gegebenenf alls abgehorten Signalverlauf en Riickschlus- 
se auf geheime Informationen zu schliefien. Die Signalverlaufe hangen von 
den Operationen ab, die der Chip gerade ausfiihrt. Die Steuerung dieser 
Operationen erfolgt mit Hilf e eines Betriebsprogramms, das in einem Spei- 
cher des Chips gespeichert ist. Das Betriebsprogramm setzt sich aus einer 
25 Reihe von einzelnen Bef ehlen zusammen, die jeweils eine genau f estgelegte 
Operation auslosen. Damit der Chip die ihm zugedachten Funktionen aus- 
iiben kann, ist fiir jede dieser Funktionen eine entsprechende Bef ehlsf olge zu 
definieren. Bei einer solchen Funktion kann es sich beispielsweise um das 
Verschliisseln von Daten mit Hilfe eines geheimen Schliissels handeln. Um 
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einem Angreif er, der die Vorgange auf dem Chip mittels von ihm dort ange- 
brachten Mikrosonden abhort, moglichst wenig Inf ormationen liber die je- 
weils abgearbeiteten Befehle und die bei der Abarbeitung der Befehle ver- 
wendeten Daten zu geben, werden zur Realisierung einer gewiinschten 
5 Funktion bevorzugt solche Befehle verwendet, bei denen ein Ausspahen von 
Informationen nur schwer oder gar nicht moglich ist Mit anderen Worten, es 
sollen keine Befehle verwendet werden, bei denen durch Abhoren auf einfa- 
che Art und Weise auf die verarbeiteten Daten geschlossen werden kann. Ein 
Riickschlufi auf die Daten ist aber immer dann besonders einf ach, wenn der 

10 Befehl nur sehr wenige Daten verarbeitet, beispielsweise nur ein einzelnes 
Bit. Aus diesem Grund werden gemafi der Erfindung zumindest fur alle si- 
cherheitsrelevanten Operationen, wie beispielsweise das Verschltisseln von 
Daten, bevorzugt solche Befehle verwendet, die gleichzeitig mehrere Bits, 
z.B. jeweils ein Byte verarbeiten. Durch dieses gleichzeitige Verarbeiten meh- 

15 rerer Bits verwischt der EinfluJS, den die einzelnen Bits auf den durch den 
Befehl hervorgeruf enen Signalverlauf haben zu einem Gesamtsignal, aus 
dem nur sehr schwer auf die einzelnen Bits zuriickgeschlossen werden kann. 
Der Signalverlauf ist wesentlich komplexer als bei der Verarbeitung von ein- 
zelnen Bits und es ist nicht ohne weiteres ersichtlich, welcher Teil des 

20 Signals zu welchem Bit der verarbeiteten Daten gehort. 

Zusatzlich oder alternativ hierzu kann gemafi der Erfindung der Angriff axif 
die verarbeiteten Daten dadurch erschwert werden, dal3 bei sicherheitsrele- 
vanten Operationen ausschliefilich solche Befehle verwendet werden, die 
25 einen identischen oder sehr ahnlichen Signalverlauf auslosen bzw. Befehle, 
bei denen die verarbeiteten Daten keinen oder nur einen sehr geringen Ein- 
flufi auf den Signalverlauf haben, 
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Die Erfindung wird nachstehend anhand der in den Figuren dargesteUten 
Ausfiihrungsformen erlautert. Es zeigen: 



Fig. 1 eine Chipkarte in Auf sicht und 

Fig. 2 einen stark vergrofierten Ausschnitt des Chips der in Fig. 1 dargesteU- 
ten Chipkarte in Aufsicht. 

In Fig. 1 ist als ein Beispiel fiir den Datentrager eine Chipkarte 1 dargestellt. 
Die Chipkarte 1 setzt sich aus einem KartenkQrper 2 und einem Chipmodul 3 
zusammen, das in eine dafiir vorgesehene Aussparung des Kartenkorpers 2 
eingelassen ist. Wesentliche Bestandteile des Chipmoduls 3 sind Kontaktfla- 
chen 4, iiber die eine elektrische Verbindung zu einem externen Gerat herge- 
stellt werden kann und ein Chip 5, der mit den Kontaktflachen 4 elektrisch 
verbunden ist. Alternativ oder zusatzUch zu den Kontaktflachen 4 kann auch 
eine in Fig. 1 nicht dargestellte Spule oder ein anderes tJbertragungmittel 
zur Herstellung einer Kornmunikationsverbindung zwischen dem Chip 5 
und einem externen Gerat vorhanden sein. 

In Fig. 2 ist ein stark vergrofierter Ausschnitt des Chips 5 aus Fig. 1 in Auf- 
sicht dargestellt. Das besondere der Fig. 2 liegt darin, dafi die aktive Oberfla- 
che des Chips 5 dargestellt ist, d.h. samtliche Schichten, die im allgemeinen 
die aktive Schicht des Chips 5 schutzen, sind in Fig. 2 nicht dargestellt. Um 
Informationen iiber die Signalverlaufe im Inneren des Chips zu erhalten, 
konnen beispielsweise die freigelegten Strukturen 6 mit Mikrosonden kon- 
taktiert werden. Bei den Mikrosonden handelt es sich um sehr diinne Na- 
deln, die mittels einer Prazisions-Positioniereinrichtung mit den freigelegten 
Strukturen 6, beispielsweise Leiterbahnen in elektrischen Kontakt gebracht 
werden. Die mit den Mikrosonden auf genommenen Signalverlaufe werden 
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mit geeigneten Mefi- und Auswerteeinrichtungen weiterverarbeitet mit dem 
Ziel, Riickschliisse auf geheime Daten des Chips schliefien zu konnen. 

Mit der Erfindung wird erreicht, dafi ein Angreif er auch dann, wenn es ihm 
5 gelungen sein sollte, die Schutzschicht des Chips 5 ohne Zerstorung des 

Schaltkreises zu entf ernen und die freigelegten Strukturen 6 des Chips 5 mit 
Mikrosonden zu kontaktieren oder auf andere Weise abzuhoren nur sehr 
schwer oder gar nicht Zugang zu insbesondere geheimen Daten des Chips 
erlangt. Selbstverstandlich greift die Erfindung auch dann, wenn ein Angrei- 
10 fer auf andere Art und Weise Zugang zu den Signalverlaufen des Chips 5 
erlangt. 

GemaJS der Erfindung werden die Befehle des Betriebsprogramms des Chips 
wenigstens bei alien sicherheitsrelevaten Operationen so ausgewahlt, dafi 

15 aus den abgehorten Signalverlaufen entweder uberhaupt nicht oder zumin- 
dest nur sehr schwer Riickschliisse auf die mit den Befehlen verarbeiteten 
Daten gezogen werden konnen. Dies kann beispielsweise dadurch erreicht 
werden, dafi man bei Sicherheitsoperationen grundsatzlich auf alle Befehle 
verzichtet, die einzelne Bits verarbeiten, wie z.B. das Verschieben einzelner 

20 Bits, dxirch das eine Permutation der Bits einer Bitfolge bewirkt werden soil. 
Statt der Bitbef ehle kann man beispielsweise auf By te-Bef ehle zuriickgreif en, 
wie beispielsweise Kopier- oder Rotationsbefehle, die statt eines einzelnen 
Bits gleich ein gesamtes Byte bestehend aus acht Bits verarbeiten. Der Byte- 
Befehl lost im Gegensatz zu dem Bit-Befehl einen wesentlich komplexeren 

25 Signalverlauf aus, wobei eine Zuordnvmg zwischen einzelnen Bits und Teil- 
bereichen des Signalverlaufs extrem schwierig ist. Dies fiihrt zu einer Ver- 
schleierung der mit dem Byte-Bef ehl verarbeiteten Information und er- 
schwert somit ein Ausspahen dieser Information. 
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Weiterhin besteht im Rahmen der Erfindung noch die Moglichkeit, bei si- 
cherheitsrelevanten Operationen grundsatzlich nur Befehle zu verwenden, 
die einen sehr ahnlichen Signalverlauf auslosen, so dafi eine Unterscheidung 
der gerade abgearbeiteten Befehle anhand der Signalverlaufe sehr schwierig 
5 ist Ebenso ist es auch moglich, die Befehle so zu gestalten, dafi die Art der 
verarbeiteten Daten keinen oder nur einen sehr geringen Einflufi auf den 
durch den Bef ehl ausgelosten Signalverlauf haben. 

Die geschilderten Varianten kSnnen bezogen auf die einzelnen Befehle ent- 
10 weder alternativ oder in Kombination eingesetzt werden. Ein erfindungsge- 
mafier Satz von sicherheitsrelevanten Befehlen kann sich somit aus Befehlen 
zusammensetzen, die einer oder mehrerer der oben genannten Varianten 
angehoren. Ebenso kann auch ein Befehlssatz verwendet werden, bei dem 
alle Befehle derselben Variante angehoren, wobei auch zugelassen sein kann, 
15 dafi einige oder auch alle Befehle dartiber hinaus auch anderen Varianten 

angehoren. So konnen beispielsweise ausschliefilich Byte-Befehle zugelassen 
sein, wobei bevorzugt solche Befehle verwendet werden, die zudem einen 
sehr ahnlichen Signalverlauf auslosen. 

20 Als sicherheitsrelevante Operationen sind z.B. Verschliisselungsoperationen 
anzusehen, die haufig auch bei Chipkarten eingesetzt werden. Im Rahmen 
solcher Verschliisselungen werden eine Reihe von Einzeloperationen ausge- 
fiihrt, die zu bitweisen Veranderungen in einem Datenwort fuhren. Gemafi 
der Erfindung werden alle diese Befehle durch Byte-Befehle ersetzt 

25 und/oder es werden die weiteren oben genannten erfindungsgemafien 
Mafinahmen getroffen. Auf diese Art und Weise wird es einem Angreifer 
noch weiter erschwert, aus den abgehorten Signalverlauf en Ruckschliisse auf 
die bei der Verschlusselung verwendeten geheimen Schliissel zu Ziehen und 
es wird dadurch ein Mifibrauch dieser geheimen Schliissel verhindert. 



Datentrager mit einem Halbleiterchip (5) der wenigstens einen Spei- 
cher aufweist, in dem ein Betriebsprogramm abgelegt ist, das mehrere 
Befehle beinhaltet, wobei jeder Bef ehl von aujSerhalb des Halbleiter- 
chips (5) detektierbare Signale hervorruft, dadxirch gekennzeichnet, 
dafi der Datentrager bei der Durchfuhning sicherheitsrelevanter Ope- 
rationen ausschliefilich solche Befehle des Betriebsprograxnms ver- 
wendet, bei denen aus den detektierten Signalen nicht auf die mit den 
zugehorigen Befehlen verarbeiteten Daten geschlossen werden kann. 

Datentrager nach Anspruch 1, dadxirch gekennzeichnet, daJG die ver- 
wendeten Befehle, fur eine wenigstens by teweise Verarbeitung von 
Daten ausgelegt sind. 

Datentrager nach einem der vorhergehenden Anspriiche, dadurch 
gekennzeichnet, dafi die verwendeten Befehle sich beziiglich der von 
ihnen hervorgerufenen Signalverlanfe nicht oder nur sehr wenig 
voneinander unterscheiden. 

Datentrager nach einem der vorhergehenden Anspriiche, dadurch 
gekennzeichnet, dafi die verwendeten Befehle jeweils zu einem Si- 
gnalverlauf fiihren, der nicht oder in einem nur sehr geringen Aus- 
mafi von den mit dem Befehl verarbeiten Daten abhangt. 



Datentrager nach einem der vorhergehenden Anspriiche, dadurch 
gekennzeichnet, dafi es sich bei den sicherheitsrelevanten Operatio- 
nen um Schliisselpermutationen oder Permutationen anderer gehei- 
mer Daten handelt. 

Datentrager nach einem der vorhergehenden Anspruche, dadurch 
gekennzeichnet, dafi es sich bei dem Datentrager um eine Chipkarte 
handelt. 



Die Erfindung betrifft einen Datentrager (1) der einen Halbleiterchip (5) 
aufweist. Urn zu verhindern, dafi ein Angreif er aus abgehorten Signalverlau- 
fen des Chips (5) geheime Daten des Chips (5) ermittelt, werden sicherheits- 
relevante Operationen nur mit bestimmten Befehlen des Betriebsprogramms 
durchgefiihrt, bei deren Verwendung aus den Signalverlauf en nicht auf die 
verarbeiteten Daten geschlossen werden kann. Diese Befehle zeichnen sich 
dadurch aus, dafi sie die Daten wenigstens byteweise verarbeiten, dafi sie 
alle den gleichen oder einen ahnlichen Signalverlauf hervorrufen und/oder 
dafi der von ihnen hervorgeruf ene Signalverlauf wenig oder gar nicht von 
den jeweils verarbeiteten Daten abhangt. 



(Fig- 1) 
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